Inter News Service Agencia de Noticias
San Juan, 11 jun (INS).- La Contraloría de Puerto Rico emitió una opinión cualificada de las operaciones de la Oficina de Informática del municipio de Cayey, toda vez que reveló la falta de un informe de análisis de riesgos de los sistemas de información, y de un procedimiento escrito para el manejo de incidentes.
La situación, contraria a las disposiciones de la carta circular 140-16 sobre la implantación de sistemas de compra de equipos y programas y uso de la tecnología de información, le impide al municipio estimar el impacto que los elementos de riesgos tendrían en las áreas y los sistemas principales para protegerlos. Y la falta de un plan de manejo de incidentes puede provocar duplicidad de esfuerzo y tiempo ante situaciones inesperadas.
Una opinión cualificada se emite cuando los incumplimientos individuales o en conjunto son significativos, pero no generalizados.
El informe de cuatro hallazgos señala que el municipio no cuenta con un plan de contingencias que identifique, entre otras cosas, un centro de procesamiento de datos alterno, la identificación y configuración de los equipos y archivos críticos, así como los procedimientos cuando el centro de cómputos no pueda recibir ni transmitir información a los usuarios.
Lo comentado representa un alto riesgo de incurrir en gastos excesivos e innecesarios de recursos, e interrupciones prolongadas de los servicios ofrecidos a los usuarios.
El informe indica, que el municipio no contaba con normas o procedimientos para configurar las políticas de seguridad en el servidor principal. Esta situación es contraria a las políticas establecidas en la carta circular 140-16 y a las guías establecidas en el Federal Information Systems Controls Audit Manual (Fiscam), y puede propiciar que personas no autorizadas tengan acceso a información confidencial.
De la evaluación realizada se halló también que el 90% de los accesos asignados al personal no cuenta con los documentos de autorización y justificación de los privilegios otorgados.
Al 2 de julio de 2019, el municipio no realizaba respaldos periódicos de la información almacenada ni de la configuración del servidor principal. Para el huracán María, el servidor principal se dañó y tuvieron que configurarlo desde cero; situación que se hubiese evitado de haber tenido un respaldo.
Además, la directora de Recursos Humanos indicó que el respaldo de la aplicación ABS para el manejo de los registros de asistencia y los balances de licencias acumuladas de los empleados, se grababa en un medio externo (pendrive) y no se mantenía copia fuera de los predios de la oficina.
El informe recomienda a la Oficina de Gerencia y Presupuesto que se asegure que el municipio cumpla con el plan de acción correctivo. Además, recomienda al alcalde que se realice un informe de análisis de riesgos y se asegure que se mantenga actualizado.
El informe cubre el período del 13 de marzo al 2 de agosto de 2019 y está disponible en www.ocpr.gov.pr INS
aa